ClickFix अब केवल एक सामाजिक‑इंजीनियरिंग ट्रिक नहीं, बल्कि एक पूरी तरह से औद्योगिकीकृत मालवेयर‑एज़‑ए‑सर्विस (MaaS) इकोसिस्टम बन चुका है। पारंपरिक एंटी‑वायरस (AV) और एंडपॉइंट डिटेक्शन (EDR) इसे पहचान नहीं पा रहे, जबकि YARA‑आधारित संरचनात्मक विश्लेषण सबसे भरोसेमंद बचाव बन गया है।
मुख्य बिंदु (Key Takeaways)
- ClickFix अब एक पूर्ण MaaS इकोसिस्टम है, जो आसानी से किराये पर ली जा सकती है।
- परम्परागत AV/EDR समाधान इसे नहीं पकड़ पाते, इसलिए YARA नियम सबसे प्रभावी हैं।
- नवीन YARA संरचनात्मक नियम ने 422 अरब नमूने में 123 पुष्टि‑की‑गई ClickFix लुरे को उजागर किया।
ClickFix ने 2024 में सामाजिक‑इंजीनियरिंग‑आधारित पॉप‑अप त्रुटि संदेशों के रूप में अपनी शुरुआत की, लेकिन आज यह एक विस्तृत, औद्योगिक‑स्तर की मालवेयर‑एज़‑ए‑सर्विस (MaaS) इकाई बन चुका है। शोधकर्ता Reversing Labs के अनुसार, इस इकोसिस्टम में प्रतिदिन कई नए वैरिएंट उत्पन्न होते हैं, जिससे पारंपरिक सुरक्षा उपकरणों की पहचान क्षमता लगभग नष्ट हो गई है।
इकोसिस्टम का विकास और आर्थिक मॉडल
पहले केवल एक कमांड‑कॉपी‑पेस्ट पद्धति के रूप में मौजूद ClickFix, अब地下 फ़ोरम पर $250 प्रति महिना या $1,800 एक‑बार‑लाइसेंस के रूप में बेचा जाता है। इस कीमत में नियमित अपडेट और AV‑बायपास सुविधाएँ शामिल हैं, जिससे छोटे‑से‑छोटे हमले भी बड़े‑स्तर के अभियानों में बदल सकते हैं। इस तरह की कमोडिटीकरण ने प्रवेश बाधा को घटा दिया है, जिससे हमले की आवृत्ति में तीव्र वृद्धि हुई है।
तकनीकी विश्लेषण: क्यों पारम्परिक AV/EDR असफल होते हैं
ClickFix का अधिकांश कार्य वैध टूल्स—जैसे PowerShell और Windows‑आधारित स्क्रिप्ट—के माध्यम से चलता है। एक उपयोगकर्ता जो नियमित रखरखाव स्क्रिप्ट चला रहा हो, वह बिल्कुल वही कमांड चलाता है जो दुर्भावनापूर्ण लुरे चलाता है। इसलिए एंटी‑वायरस या EDR सिग्नेचर‑आधारित पहचान प्रणाली इस अंतर को नहीं देख पाती। Reversing Labs ने बताया कि “PowerShell को चलाने वाला उपयोगकर्ता, चाहे वह IT‑प्रशासनिक कार्य कर रहा हो या Lumma Stealer ड्रॉपर, दोनों समान दिखते हैं।”
YARA‑आधारित संरचनात्मक नियम की शक्ति
इस चुनौती को पार करने के लिए शोधकर्ताओं ने एक नया YARA नियम विकसित किया, जो लुरे की HTML संरचना को पढ़ता है, न कि अंतर्निहित पेलोड को। इस नियम को 422 अरब नमूना संग्रह में परीक्षण किया गया, जहाँ यह 123 पुष्टि‑की‑गई ClickFix लुरे को पहचान पाया, जो सभी प्रमुख AV‑इंजनों से बच चुके थे। YARA का यह “स्ट्रक्चरल पैटर्न” दृष्टिकोण पेलोड के URL, डोमेन या इंफ्रास्ट्रक्चर की घूर्णनशीलता को अनदेखा कर, निरंतर समान घटकों को लक्षित करता है।
भविष्य की दिशा और सिफ़ारिशें
साइबर‑क्रिमिनल अब केवल क्रेडेंशियल चोरी से आगे बढ़कर पूर्ण‑रेंज RAT (Remote Access Trojan) जैसे DarkGate, AsyncRAT और SectopRAT को ClickFix इकोसिस्टम में सम्मिलित कर रहे हैं। इससे “स्मैश‑एंड‑ग्रैब” से “लंबी‑अवधि‑की‑इंट्रूजन” तक का संक्रमण तेज़ हो रहा है। सुरक्षा पेशेवरों को चाहिए कि वे YARA‑आधारित नियमों को निरंतर अपडेट रखें, एन्डपॉइंट‑डिटेक्शन के बजाय प्री‑एंडपॉइंट‑फिल्टरिंग पर ध्यान दें, और उपयोगकर्ता शिक्षा के माध्यम से पॉप‑अप‑आधारित सामाजिक‑इंजीनियरिंग को कम करें।